许多系统已经使用 Log4j,这是一个用于在应用程序中记录错误消息的 Java 库。但 Apache 最近披露的一个缺陷可能允许黑客不受控制地访问世界各地的设备。
事实上,网络犯罪分子已经在尝试利用此漏洞,所有类型的在线应用程序、开源软件、云平台和电子邮件服务都可能面临风险。
那么什么是 Log4j?它在哪里使用?有什么方法可以保护自己免受 Log4j 缺陷的影响?
在其开发生命周期中调试软件的可靠方法需要将日志语句插入代码中。Log4j 就是一个这样的 Java 日志库,它既可靠又灵活。
Log4j 由开源 Apache 软件基金会开发和维护,可以在所有主要平台上运行,包括 Windows、Linux 和 Apple 的 macOS。
日志记录在软件开发中至关重要,因为它可以指示系统在运行时的状态。在任何时候都可以使用系统活动日志对于留意问题非常有帮助。
不用说,开发人员在不同的开发阶段使用 Log4j。它还用于在线游戏、企业软件和云数据中心。
构成 Log4j 的三个基本组件分别是记录器、附加器和布局;所有这些都协同工作,以系统地记录日志。
Log4j 漏洞可以使包含 Log4j 的系统对外部入侵开放,使威胁参与者可以轻松地在内部编织并获得特权访问。
这个漏洞一直存在,早在 2020 年被发现时就被忽视了。 然而,在 LunaSec 研究人员在微软的 Minecraft 中发现这个漏洞后,Apache 现在已经在Log4j库中正式披露了这个漏洞。
从那时起,越来越多的攻击者自然而然地开始利用它,在短时间内将这个先前被忽视(或看起来如此)的漏洞变成了更严重的漏洞。
所有主要的基于 Java 的企业软件和服务器都使用 Log4j 库。由于它在软件应用程序和在线服务中的广泛使用,许多服务容易受到这种攻击。
它可能给任何运行 Apache Log4j 版本 2.0 到 2.14.1 并访问 Internet 的设备带来风险。事实上,大量的服务使用Log4j,比如苹果的iCloud、微软的Minecraft、Twitter、Steam、腾讯、谷歌、亚马逊、CloudFare、网易、Webex和LinkedIn。
Log4j 被归类为零日漏洞,带来了许多影响。如果不打补丁,它可能会打开一大堆蠕虫病毒——攻击者可能会闯入系统、窃取密码和登录信息,并使用恶意软件感染网络——因为该漏洞不需要大量专业知识即可利用。
以下是一些可以帮助您缓解 Log4j 漏洞的提示。
您的组织应该快速识别运行 Log4j 的面向 Internet 的设备并将它们升级到版本 2.15.0。
您还应该安装制造商和供应商发布的所有可用更新和安全补丁。例如,Minecraft 已经建议用户更新游戏以避免出现问题。其他开源项目如 Paper 也在发布补丁来解决这个问题。
目前针对 Log4j 的最佳防御形式是安装 Web 应用程序防火墙 (WAF)。如果您的组织已经在使用 WAF,最好安装专注于 Log4j 的规则。
通过识别和阻止上游设备(例如 WAF)上的危险字符串,您可以保护您的应用程序免受 Log4j 的影响。
国家网络安全中心 (NCSC)建议为运行 Log4j 的设备的探测或攻击设置警报。
要求您组织的安全运营部门继续定期对异常进行威胁搜寻,并对 Log4j 生成的每个警报采取行动。
Log4j 风靡全球,而且似乎长期存在。由于对于这种规模的漏洞没有一刀切的解决方案,Log4j 将使 IT 世界在未来几个月内保持忙碌。
就目前而言,安全研究人员、防御团队和白帽黑客都在争先恐后地了解这个漏洞的普遍性及其长期影响。
虽然目前情况看起来很暗淡,但最终用户仍应优先考虑通过遵循上述提示和网络安全专家提供的指南来缓解此漏洞。